9月18日,央视《新闻 1》报道了一系列《可怕的 App 要有「法」治》节目,提到多个下载量较高的移动应用存在远程控制、恶意扣费、超标等问题比如个人信息的广泛收集引起了社会各界特别是政府监管部门的高度关注。
深究其背后的因素,Security 专家认为,开发者在业务开发中可能更注重业务功能的实现,而没有太多的精力去应对很多外部因素,比如高危漏洞、恶意行为、隐私等。
泄漏等问题。
针对此次国家提出的整改需求,开发者可以利用第三方专业安全测试工具对自身应用进行详细自查,及时掌握潜在的安全风险。
今年1月,国家网信办、工业和信息化部、公安部、市场监管总局联合发布公告,启动为期一年的APP违法违规专项打击行动。
收集和使用个人信息,并委托成立专门的App治理工作组。
9月17日,在全国网络安全宣传周“个人信息保护高峰论坛”上,工作组透露,已收到举报近10份,涉及多款App,整改问题百余项!安全专家表示,随着APP研发的快速发展和融合,安全问题也愈演愈烈。
远程控制、恶意扣费、或者高危漏洞等恶意行为也层出不穷。
除了APP本身的问题外,还有很多问题可能是集成的第三方SDK造成的。
为了营造健康的用户信息收集和使用环境,配合监管部门对涉嫌违法违规的App进行专项管理,并为开发者提供认证后的自查自评渠道,天语团队推出了移动应用程序的自检工具。
包括合规检测、病毒检测、漏洞检测、恶意攻击防范、第三方SDK监控等。
针对APP中的远程控制、恶意扣费等八类恶意行为,天语提供的恶意行为检测可以检测绝大多数恶意样本。
未知样本转入人工分析,检测结果细分为恶意推演。
、隐私盗窃、远程控制、恶意传播、资费消耗、系统破坏、欺诈、流氓行为、代理、下载者、发布者、支付、勒索等子行为。
针对国家重点关注的隐私权问题,可以基于静态自动检测、模拟器半自动检测、人工深度检测。
对APP/SDK申请的敏感隐私权限、收集用户个人信息的类型和频率、回传服务器场景、热更新行为等进行安全评估,明确APP中使用的方式涉及收集用户个人信息。
同时,依托强大的漏洞检测能力和庞大的病毒库,该产品还对APP/SDK中可能存在的与权限利用或隐私窃取高度相关的漏洞和恶意行为进行深度检测,最大限度地防范用户的恶意行为。
保护用户个人信息安全。
当然,由于App生态系统的复杂性,其治理不能仅仅依靠App厂商,而是需要多方治理。
作为安防厂商,为开发者提供自查服务,不仅是国家“法”规则,也有利于行业协作,形成全面的治理生态。